أعلنت بورصة الأوركا اللامركزية Orca في 20 أبريل/نيسان أنها أكملت بالكامل عملية تبديل مفاتيح وشهادات الأمان المتعلقة بواقعة أمنية على منصة التطوير المستضافة Vercel، بما يؤكد أن اتفاقياتها على السلسلة وأموال المستخدمين لم تتأثر. وكشفت Vercel يوم الأحد أنه تمكّن المهاجمون من الوصول إلى بعض الأنظمة الداخلية الخاصة بالمنصة عبر أداة ذكاء اصطناعي طرف ثالث تتكامل مع OAuth الخاص بـ Google Workspace.
مسار الاختراق: ثغرة في سلسلة توريد OAuth الخاصة بالذكاء الاصطناعي، وليست هجومًا مباشرًا على Vercel نفسه
(المصدر:Vercel)
لم يكن مسار هجوم هذه الواقعة يستهدف Vercel بشكل مباشر، بل جاء عبر أداة ذكاء اصطناعي طرف ثالث تم اختراقها في وقت سابق ضمن حادث أمن أكبر نطاقًا، والتي استخدمت أذونات تكاملها مع Google Workspace OAuth للوصول إلى الأنظمة الداخلية الخاصة بـ Vercel. وذكرت Vercel أن هذه الأداة كانت قد أثرت سابقًا على مئات المستخدمين من عدة جهات.
يصعب رصد ثغرات سلسلة التوريد هذه عبر أنظمة المراقبة الأمنية التقليدية، لأنها تستغل خدمة تكامل موثوقة بدلًا من ثغرة مباشرة في الشيفرة. وأشار المطوّر Theo Browne إلى أن أشد الأنظمة تأثرًا كانت التكاملات الداخلية في Vercel مع Linear وGitHub. وقد تشمل المعلومات التي قد يتمكن المهاجمون من الوصول إليها: مفاتيح الوصول، والشيفرة المصدرية، وسجلات قواعد البيانات، وشهادات النشر (بما في ذلك رموز NPM ورموز GitHub). ولا يزال تصنيف الواقعة غير واضح حتى الآن؛ إذ ذكرت تقارير أن البائعين كانوا قد طلبوا فدية من Vercel، لكن تفاصيل المفاوضات لم تُكشف.
مخاطر خاصة في الواجهات الأمامية المشفّرة: هجوم طبقة الاستضافة مقابل اختطاف DNS التقليدي
تُبرز هذه الواقعة سطحًا هجوميًا كان طويلًا ما يُهمَل في أمن الواجهات الأمامية المشفّرة:
الفرق الرئيسي بين نمطَي الهجوم
اختطاف طبقة DNS: يعيد المهاجمون توجيه المستخدمين إلى مواقع مزيفة، وغالبًا ما يمكن اكتشاف ذلك بسرعة نسبيًا عبر أدوات المراقبة
اختراق طبقة الاستضافة (Build Pipeline): يقوم المهاجمون بتعديل شيفرة الواجهة الأمامية التي تُسلَّم للمستخدمين مباشرةً، ويظل المستخدمون يصلون إلى النطاق الصحيح، لكن قد يتم تشغيل شيفرة خبيثة دون علم المستخدمين
في بيئة Vercel، إذا لم تكن متغيرات البيئة موسومة على أنها «sensitive»، فقد تتعرض للتسريب. وبالنسبة لبروتوكولات التشفير، تحتوي هذه المتغيرات عادةً على معلومات حساسة حاسمة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. بمجرد تسريبها، قد يتمكن المهاجمون من العبث بالإصدارات المُنشرَة وحقن شيفرة خبيثة، أو الوصول إلى خدمات الخلفية لتنفيذ هجمات أوسع. وقد حثّت Vercel عملاءها على الفور على مراجعة متغيرات البيئة وتفعيل ميزات حماية المتغيرات الحساسة في المنصة.
دروس لـ Web3 في مجال الأمن: الاعتماد على سلسلة التوريد يتحول إلى خطر منهجي
لم تؤثر هذه الواقعة على Orca وحدها، بل كشفت أيضًا للمجتمع الواسع لـ Web3 عن مشكلة بنيوية أعمق: اعتماد مشاريع التشفير على البنية التحتية السحابية المركزية وخدمات تكامل الذكاء الاصطناعي يكوّن أسطح هجوم جديدة يصعب الدفاع عنها. عندما يتم اختراق أي خدمة طرف ثالث موثوقة، يمكن للمهاجمين تجاوز خطوط الدفاع الأمنية التقليدية والتأثير مباشرةً على المستخدمين. لقد تجاوز أمن الواجهات الأمامية المشفرة نطاق حماية DNS ومراجعات تدقيق العقود الذكية؛ إذ أصبحت الإدارة الأمنية الشاملة للمنصات السحابية وخطوط CI/CD وتكاملات الذكاء الاصطناعي تشكل طبقة دفاع لا يمكن تجاهلها لمشاريع Web3.
الأسئلة الشائعة
ما تأثير حادث أمان Vercel هذا على المشاريع التشفيرية التي تستخدم Vercel؟
تقول Vercel إن عدد العملاء المتأثرين محدود، وأن خدمات المنصة لم تتوقف. لكن نظرًا لأن الواجهة الأمامية لكثير من DeFi وواجهات DEX وصفحات ربط المحافظ تُستضاف على Vercel، فقد طُلب من الجهات المعنية مراجعة متغيرات البيئة على الفور، والتأكد من حالة الأمان لشهادات النشر (بما في ذلك رموز NPM ورموز GitHub)، واستبدال أي مفاتيح قد تكون قد تم تسريبها.
ما المخاطر المحددة التي تعنيها «عملية تسريب متغيرات البيئة» في الواجهات الأمامية المشفرة؟
تقوم متغيرات البيئة عادةً بتخزين معلومات حساسة مثل مفاتيح API ونقاط RPC خاصة وشهادات النشر. إذا تسربت هذه القيم، فقد يقوم المهاجمون بتعديل نشر الواجهة الأمامية، وحقن شيفرة خبيثة (مثل طلبات تفويض للمحفظة مزيفة)، أو الوصول إلى خدمات ربط الخلفية لتنفيذ هجوم أكثر شمولًا، بينما لا يزال اسم النطاق الذي يزوره المستخدمون يظهر بشكل طبيعي من الواجهة.
هل تأثرت أموال مستخدمي Orca بهذه الواقعة على Vercel؟
تؤكد Orca بشكل واضح أن بروتوكولاتها على السلسلة وأموال المستخدمين لم تتأثر. وكان تبديل المفاتيح في هذه الواقعة إجراءً وقائيًا بحسابات حذرة، وليس استنادًا إلى خسائر أموال مؤكدة. وبسبب اعتماد Orca لبنية غير مُحكَمة (non-custodial)، حتى في حال تعرض الواجهة الأمامية للتأثير، يظل التحكم في ملكية الأصول على السلسلة بيد المستخدم نفسه.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
محتالون يتنكرون كمسؤولين إيرانيين يطالبون بالسفن في مضيق هرمز بالـ Bitcoin وUSDT
رسالة أخبار بوابة، 21 أبريل — المحتالون الذين يتظاهرون بمسؤولين إيرانيين يطالبون بـ Bitcoin (BTC) وTether (USDT) كرسوم عبور من السفن في مضيق هرمز، وفقًا لتحذير من MARISKS، وهي شركة لإدارة مخاطر بحرية مقرها اليونان. يَعِد المخطط كذبًا بـ "ترخيص عبور آمن"
GateNewsمنذ 2 س
加密黑客清洗 $300M 五月 或将放慢华尔街的区块链雄心
Gate 新闻消息,4月21日——据 Jefferies LLC 发布于周二的一份报告称,上周末的一起黑客攻击从一个小型加密项目中洗走了将近 $300 百万美元,并引发了对最大的去中心化借贷平台的 $10 十亿美元挤兑,可能会放缓华尔街对区块链技术日益增长的兴趣。
GateNewsمنذ 2 س
باحث أمني يكشف عن ثغرة يوم-صفر في CometBFT؛ لا يمكن تنفيذ سرقة مباشرة للأصول
رسالة أخبار بوابة، 21 أبريل — كشف الباحث الأمني دويون بارك عن ثغرة حرجة يوم-صفر (CVSS 7.1) في CometBFT، طبقة الإجماع في Cosmos، وفقًا لمنشور على X. قد تتسبب هذه الثغرة في تعطل عقد الشبكة أثناء مزامنة الكتل، مما يعطل عمليات النظام، لكن لا يمكنها أن تؤدي مباشرةً إلى سرقة الأصول، لكن لا يمكنها أن تؤدي مباشرةً إلى سرقة الأصول.
GateNewsمنذ 5 س
假冒警察勒令法国一对夫妇转移近 $1M 的比特币
在法国,冒充警察的犯罪分子利用恐惧与权威,强迫一对夫妇转移近 $1M 的比特币,并实施了一种“扳手攻击”(wrench attack),该攻击利用的是人而非钱包。
摘要:攻击者通过冒充身份与心理胁迫,强制实施比特币转账,展示了“扳手攻击”的运作方式——它针对的是人的脆弱性,而不是技术层面的钱包漏洞。
GateNewsمنذ 6 س
إحباط محاولة سطو مسلح على محترف عملات مشفرة فرنسي؛ القبض على المشتبه به
رسالة بوابة الأخبار، 21 أبريل — تمكن أحد المحترفين البالغ عمره 40 عامًا في صناعة العملات المشفرة في سان-جان-دي-فيياداس، قرب مونبلييه، فرنسا، من إحباط محاولة سطو مسلح على منزله. وجرى إخفاء هوية المشتبه به بزي شخص مكلف بتوصيل الطرود، حيث دخل إلى مقر السكن وطلب من الضحية تسليم مفاتيح المحافظ الخاصة للعملات المشفرة
GateNewsمنذ 6 س
